エグゼクティブサマリー
2025年7月19日、MicrosoftはCVE-2025-53770に関する緊急勧告を公表しました。これはオンプレミスSharePointサーバーに影響する重大なリモートコード実行脆弱性です。CVSSスコア9.8、すでにゼロデイ悪用が進行中であったことから、本脆弱性は近年でも最も深刻なSharePointセキュリティインシデントの1つを意味します。
脆弱性はToolPane.aspxエンドポイントでの信頼されていないデータの不適切なデシリアライゼーションに起因します。CVE-2025-53771の認証バイパスと組み合わせると、攻撃者は未認証リモートコード実行を達成できます ― あらゆる企業アプリケーションにとって最悪のシナリオです。概念実証が公開されてから72時間以内に、世界中の組織を標的とする大量悪用キャンペーンが始まりました。
CVE-2025-53770を特に危険にしているのは、その悪用後の影響です。攻撃者はコードを実行するだけでなく、サーバーの暗号化MachineKey設定を抽出し、パッチ適用後も生き残る永続的アクセスを可能にします。組織はパッチを適用するだけでなく、暗号鍵をローテーションし、徹底的な侵害評価を実施する必要があります。
主要所見
重大な深刻度評価
公表から大量攻撃までの時間
観測されたピーク時の日次試行数
当初の発見報酬
影響を受けるシステムとパッチ
CVE-2025-53770はすべてのオンプレミスSharePoint Serverインストールに影響します。Microsoft 365のSharePoint Onlineは影響を受けません。Microsoftは本脆弱性に対処するパッチをリリースしました ― 組織はこれらを直ちに適用すべきです。
| 製品 | 修正ビルド | KB記事 | ステータス |
|---|---|---|---|
| SharePoint Server Subscription Edition | 16.0.18526.20508 | KB5002768 | パッチ利用可能 |
| SharePoint Server 2019 | 16.0.10417.20037 | KB5002754 | パッチ利用可能 |
| SharePoint Enterprise Server 2016 | 16.0.5513.1001 | KB5002760 | パッチ利用可能 |
| SharePoint Online (Microsoft 365) | 該当なし | 該当なし | 影響なし |
ToolShell攻撃チェーン
認証バイパス(CVE-2025-53771)
攻撃者は、/_layouts/SignOut.aspxを指す改ざんしたRefererヘッダーを持つPOSTリクエストを/_layouts/15/ToolPane.aspxに送信します。これによりSharePointはリクエストを信頼されたものとして扱い、認証チェックを完全に回避します。
リモートコード実行(CVE-2025-53770)
認証がバイパスされた状態で、攻撃者はPOSTリクエストボディに悪意あるシリアライズドペイロードを送信します。脆弱なデシリアライゼーションプロセスは埋め込まれたPowerShellコマンドをサーバー側で実行し、任意のコード実行を達成します。
鍵盗難による永続化
攻撃者はWebシェル(spinstall0.aspx)を展開し、MachineKey設定からサーバーのValidationKeyとDecryptionKeyを抽出します。これらの暗号秘密により、認証トークンとViewStateペイロードを無期限に偽造できます。
悪用タイムライン
技術分析
CVE-2025-53770の根本原因は、SharePointがToolPane.aspxエンドポイント内のシリアライズドデータを扱う方法にあります。SharePointのWebパート管理機能のために設計されたこのコンポーネントは、適切な検証なしにシリアライズドオブジェクトを受け入れます。CVE-2025-53771の認証バイパスと組み合わせると、攻撃対象領域は未認証のリモート攻撃者へと拡大します。
認証バイパスは、SharePointがHTTP Refererヘッダーを処理する方法のロジック欠陥を悪用します。このヘッダーを/_layouts/SignOut.aspxに設定することで、攻撃者はログアウト操作のためのコードパスをトリガし、これが意図せずリクエストに信頼を付与します。これは根本的なアーキテクチャ上の弱点を意味します ― 認証決定はクライアント提供のヘッダーに依存すべきではありません。
この脆弱性を深刻から壊滅的なものへと引き上げるのは、悪用後の永続化メカニズムです。抽出されたMachineKey値(ValidationKeyおよびDecryptionKey)は、ViewStateと認証トークンを保護するために使用される対称暗号鍵です。これらの鍵により、攻撃者は独立して有効な認証資格情報を偽造でき、脆弱性がパッチされWebシェルが削除された後でもアクセスを維持できます。
侵害指標
悪意あるIPアドレス
107.191.58.76、104.238.159.149、96.9.125.147 ― 初期の悪用波で観測。ペリメータでブロックし、過去の接続を調査する。
Webシェルアーティファクト
\TEMPLATE\LAYOUTS\ディレクトリに展開されるspinstall0.aspx。SHA256:92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
標的エンドポイント
RefererヘッダーにSignOut.aspxを伴う/_layouts/15/ToolPane.aspxまたは/_layouts/ToolPane.aspxへのPOSTリクエストは悪用試行を示す。
User-Agent文字列
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 ― 観測された攻撃で使用、ただし容易に改変可能。
緩和戦略
セキュリティ更新を直ちに適用
KB5002768(Subscription Edition)、KB5002754(2019)、KB5002760(2016)を遅延なくインストールします。これらのパッチはデシリアライゼーション欠陥と認証バイパスの両方に対処します。
侵害評価を実施
LAYOUTSディレクトリ内のspinstall0.aspxその他の異常なASPXファイルを探します。疑わしいRefererヘッダーを伴うToolPane.aspxへのPOSTリクエストをIISログで確認します。
暗号鍵をローテーション
侵害が疑われる、または確認された場合、MachineKey設定(ValidationKeyおよびDecryptionKey)をローテーションします。このステップなしには、攻撃者は資格情報を偽造する能力を保持します。
AMSI統合を有効化
Microsoftは、デシリアライゼーション中に悪意あるペイロードを検知するため、SharePointでAMSI(Antimalware Scan Interface)統合の有効化を推奨します。
エンドポイント保護を展開
すべてのSharePointサーバーにリアルタイム保護を有効化したMicrosoft Defenderまたは同等のAVを展開していることを確認します。spinstall0.aspxの検知シグネチャは利用可能です。
WAAP保護を実装
ToolPane.aspxを標的とする悪用試行を検知・遮断するWebアプリケーションファイアウォールルールを展開します。疑わしいRefererヘッダーを持つリクエストをフィルタします。
外部アクセスを制限
外部SharePointアクセスが事業上重要でない場合、ファイアウォールルールまたはリバースプロキシ設定を使用して/_layouts/エンドポイントを内部ネットワークのみに制限します。
CVE-2025-53770は脆弱性ライフサイクルの圧縮を実証しています。公開PoCから72時間での大量悪用は、従来のパッチサイクルに余地を残しません。組織は:(1) リアルタイム脆弱性インテリジェンスを維持し、(2) 事前承認された緊急パッチ手順を持ち、(3) パッチ適用中にWAAPなどの代償的統制を展開し、(4) 侵害を想定し侵害評価に備える必要があります。本脆弱性のパッチバイパス性質はまた、初期パッチが不十分である可能性も浮き彫りにします ― 同じコンポーネントに影響する新たなCVEの継続的な監視が不可欠です。
TR7がSharePoint悪用からどのように保護するか
WAAPデシリアライゼーションルール
TR7のWebアプリケーションファイアウォールには、SharePointエンドポイントを標的とするものを含むデシリアライゼーション攻撃パターンを検知・遮断するルールが含まれます。
ヘッダー操作の検知
高度なリクエスト検査が、認証バイパス攻撃で使用されるRefererヘッダー操作を含む疑わしいヘッダー組み合わせを識別します。
アクセス制御ポリシー
きめ細かなアクセス制御ルールにより、/_layouts/のような機密な管理エンドポイントへのアクセスを認可されたネットワークのみに制限できます。
リアルタイム脅威分析
悪用試行の継続的な監視とアラート。インフラ全体で攻撃パターンとIOCを識別します。
包括的なロギング
詳細なリクエストロギングにより、フォレンジック分析と侵害評価が可能になります。攻撃試行とIOCインテリジェンスを相関させます。
自動脅威応答
既知の悪意あるIPと攻撃パターンの自動遮断。緩和までの時間を数時間から数秒に短縮します。
参考文献と情報源
IOC、攻撃タイムライン、検知ガイダンスを含むCVE-2025-53770悪用の包括的技術分析。https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/
パッチ情報と推奨される緩和策を含むCVE-2025-53770に関するMicrosoft公式の顧客向けガイダンス。https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
Cloudflareの緊急WAAPルールと観測された攻撃量(ピーク30万件試行)の詳細。https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/
ToolShellエクスプロイトチェーンに関するセキュリティチームの分析とセキュリティチームへの推奨。https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/
CVSSスコアリングと技術詳細を含む公式National Vulnerability Databaseエントリ。https://nvd.nist.gov/vuln/detail/CVE-2025-53770
検知戦略を含むCVE-2025-53770とCVE-2025-53771に関するクラウドセキュリティの観点。https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k
SharePointインフラを守る
CVE-2025-53770は、ゼロデイ悪用のウィンドウが数週間ではなく数日に圧縮されていることを実証しています。TR7の統合セキュリティプラットフォームは、企業アプリケーションを標的とする新興脅威に対する多層防御を提供します。
WAAP保護を見る